Open menu
19Temmuz2019

Kamuda Bilgi Güvenliğine İlişkin Yeni Gelişmeler

Kamuda Bilgi Güvenliğine İlişkin Yeni Gelişmeler

Kamu Kurum ve Kuruluşlarında Bilgi Güvenliğine İlişkin Genelge Resmî Gazetede Yayımlandı

6 Temmuz 2019 tarihli 30823 sayılı Resmî Gazetede kamu düzeni ve milli güvenliğe etki edebilecek verilerin güvenliğinin sağlanması amacıyla bir dizi tedbirin yer aldığı 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi yayımlandı. 21 maddeden oluşan Genelge, içeriğindeki birçok madde ile merak uyandırmaktadır. İlgili yayım ile öne çıkan konuları aşağıdaki başlıklar altında sınıflandırabiliriz.

SAKLAMA

Kritik veriler yurtiçinde, fiziksel güvenliği sağlanmış güvenli ağlar üzerinde, değiştirilmeye karşı Log kayıtları ile önlem alınarak depolanacak ve saklanacaktır. Ayrıca bu saklama işlemleri için kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetleri kullanılmayacaktır.

ŞİFRELEME

Yerli ve milli şifreleme sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır. Ülkemizde bulunacak ve Kurum’un kontrolünde bulundurulacak olan sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır. Kritik veri iletişiminde radyolink kullanımının zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak şifrelenecektir.

KULLANILACAK SİSTEMLER

Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar ve sosyal medya üzerinden gizlilik dereceli veri paylaşımı veya haberleşme yapılmayacaktır. Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir. Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik veya kullanıcıların bilgisi/izni olmadan sistemlere erişim imkânı sağlayan güvenlik zafiyeti içermediğine dair üçüncü taraflardan imkanlar ölçüsünde taahhütname alınacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanım veya yazılım açısından şifrelenmek suretiyle kurum dışına çıkarılacak ve bu amaçla kullanılan cihazlar kayıt altına alınacaktır. Kamu e-posta sistemlerinin ayarları güvenli olacak biçimde yapılandırılacak, e-posta sunucuları ülkemizde ve kurumun kontrolünde bulundurulacaktır. Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak ve kurumsal e-postalar şahsi amaçlar ile kullanılmayacaktır. İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayarak, fiber optik kablolar üzerinden taşınacaktır.

CİHAZLAR

Kritik verilerin bulunduğu veya görüşmelerin gerçekleştirildiği çalışma ortamlarında mobil ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır. Gizlilik dereceli veya kurumsal mahremiyet içeren veriler kurumsal olarak yetkilendirilmemiş, kişisel olarak kullanılan cihazlarda bulundurulmayacaktır. Ayrıca kişisel olarak kullanılanlar da dahil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar kurum sistemlerine bağlanmayacaktır.

DİĞER TEDBİRLER

Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) uygulanacak, güvenli yazılım geliştirme ile ilgili tedbirler alınarak, temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilecektir. Kurum ve kuruluşlar siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacak ve erişim yetkilendirmeleri fiilen yürütülen işler ve ihtiyaçlar dikkate alınarak yapılacaktır.

Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları gibi gerekli güvenlik önlemleri alınacaktır. Milli güvenliği doğrudan etkileyen kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak personel hakkında güvenlik soruşturması veya arşiv araştırması yapılacaktır. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi liderliğinde ilgili kamu kurum ve kuruluşlarının katkılarıyla güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, "Bilgi ve İletişim Güvenliği Rehberi” hazırlanacak ve www.cbddo.gov.tr adresinde yayımlanacak olan rehber, gelişen teknoloji ile de güncellenecek ve ilgili kamu kuruluşlarının rehberdeki hususlara uyumlu olması beklenecektir. Ayrıca Milli güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı denetleyecektir.

Konu hakkında Resmî Gazetede yayımlanan Genelge’ye buradan ulaşabilirsiniz.

Yazar CottGroup Hukuk ve Mevzuat Ekibi, Kategori Kişisel Verilerin Korunması Mevzuatı

  • Bilgilendirme Metni!

    Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

    CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

    Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

    CottGroup® üye şirketlerine ulaşmak için tıklayınız.

About The Author

/en/legislation/item/new-developments-on-information-security-in-public-sector

Diğer Mevzuatlar